Blog

Er dit cookiebanner lovligt?

Det er almindelig kendt, at hjemmesider indsamler cookies og jeg tror, at de fleste kender til at klikke ”accepter”, uden at tænke nærmere over det,  på den irriterende cookieboks der kommer op, når man vil læse noget spændende på en hjemmeside.

Som ejer af en hjemmeside er det dit ansvar, at dit cookiebanner og indsamlingen af oplysninger er lovlig.  Men hvor finder man egentlig reglerne? Der er flere områder, man skal være opmærksom på i den forbindelse.
Der er både GDPR reglerne, cookiebekendtgørelsen og der kan være regler i Markedsføringsloven, du skal tage højde for.

Hvis du synes det lyder uoverskueligt, så vent – du har snart et bedre overblik. Jeg har indsat links til sider med vigtige informationer i bunden af nyhedsbrevet.

Når du indsamler oplysninger på din hjemmeside, sker det oftest ved hjælp af samtykke – som den besøgende giver ved at klikke på cookiebanneret. Derfor er det vigtigt at den besøgendes samtykke er gyldigt og Datatilsynets vejledning beskriver følgende krav til et gyldigt samtykke:

  • Det skal være frivilligt, fordi den besøgende skal have et valg om indsamling af sine oplysninger. Derfor kan et samtykke ikke være lovligt, hvis den besøgende ikke har et reelt frit valg.
  • Det skal være specifikt på den måde, at det skal være klart og afgrænset. Det betyder at den besøgende skal give samtykke til hver formål der indsamles.
  • Den besøgende skal være informeret om, hvad der gives samtykke til, hvilke oplysninger der indsamles og hvorfor.
  • Den besøgende skal foretage ”utvetydig viljestilkendegivelse”, altså en aktiv handling i forbindelse med samtykket. Det betyder, at når man udspecificerer, hvad man indsamler oplysninger til, må felterne IKKE være krydset af på forhånd, som du kan se på billedet herunder. Det er ulovligt.

Cases eller anbefalinger på hjemmesiden?

Som virksomhed er noget af det vigtigste, hvordan dine kunder oplever din rådgivning. Det er derfor en stor fornøjelse hver gang man modtager en tilbagemelding fra en kunde.
De fleste virksomheder præsenterer cases eller anbefalinger på virksomhedens hjemmeside.
Men må man egentlig dele disse tilbagemeldinger på hjemmesiden? For de indeholder personoplysninger og dermed omfattet af persondatareglerne, – derfor skal man sikre sig at man har et lovligt grundlag for delingen.
Oftest sker det ved hjælp af samtykke, – så spørg kunden om tilbagemeldingen må bruges på hjemmesiden! Ved samtykke skal man i øvrigt huske at kunden kan trække sit samtykke tilbage når som helst og så har man ikke længere en lovlig grund til at have udtalelsen på hjemmesiden – og så skal den tages ned.
De fleste kunder er heldigvis helt med på at deres udtalelse bruges på hjemmesiden og at man linker til dem.
Mine anbefalinger kan du læse her – den sidste er spritny så kik lige på den.

Behandling af personoplysninger? – så skal man også tænke IT-sikkerhed!

Mange mindre virksomheder vil gerne selv undersøge reglerne for persondata. Oftest er det fordi de gerne vil minimere deres udgifter og lære mest muligt, så de kan klare sig selv efterfølgende.

Når man arbejder med persondatabeskyttelse skal man have overblik over flere ting, – blandt andet hvilke persondata man behandler, hvorfor man behandler dem og hvordan man opfylder oplysningspligten.

Når man skal i gang med arbejdet med persondata, skal man selvfølge undersøge de regler, der gælder i den sammenhæng. Et godt sted at starte er på Datatilsynets hjemmeside, hvor man kan finde mange oplysninger.
Udover reglerne for behandling af persondata, kommer man ikke udenom at kikke på sin IT-sikkerhed for man benytter man ofte forskellige IT-hjælpemidler i behandlingen.

Det kunne være mails, hvor man skal sikre at mails, der indeholder personoplysninger bliver krypteret. Der er mange forskellige former for kryptering. I et tidligere indlæg har jeg givet nogle eksempler på forskellige – læs gerne mere her.

I forhold til opbevaring af data bruger mange en cloud løsning, eks. igennem deres Apple ID, OneDrive, Dropboks, Jottacloud eller lignede. Det er rigtig smart, da mange af de store steder har god kontrol med deres sikkerhed og der findes backup af jeres data og der kan måske opsættes automatisk sletning. Man skal dog være opmærksom på at man skal indgå en databehandleraftale med virksomheden bag cloudlæsningen, – og man skal kontrollere at de lever op til aftalen.

Det sidste eksempel, er måske det sværeste at sikre sig imod, nemlig menneskelige fejl. Mange brud på IT-sikkerheden og beskyttelsen af personoplysninger sker fordi virksomheden rutiner ikke er på plads, at medarbejderne har for travlt eller måske en tidligere medarbejder, der bærer nag til virksomheden.

Derfor er det vigtigt, at rutinerne er på plads, at systemerne er opdaterede, passwords skiftes og at man tager stilling til, hvem der egentlig har adgang til de forskellige programmer.
Jeg vil anbefale at prøve ”Sikkerhedstjekket” og ”Privacy-kompasset” på www.sikkerdigital.dk, som er to online tests, som kan give et billede af, om ens behandling af personoplysninger har huller og hvor høj sikkerhed, man har behov for.

Sikker mail

OBS – Dette indlæg indeholder en reklame!!

Mails er en virkelig nem måde at få information hurtigt frem på og ofte tænker vi ikke så meget over sikkerheden, når vi trykker på send knappen, for mailen ryger afsted og vi er færdige. Men når vi taler om persondata, er vi nødt til at overveje sikkerheden, for når en mail ikke er krypteret, har man som afsender ingen kontrol over den, når der er trykket på send-knappen.

Hvordan sikrer vi så mailen?
Det kan man gøre ved at kryptere mailen og det kan foregå på flere måder. Måske har du hørt om udtryk som TLS, End-to-end, PGP, S/MIME og Nem-ID? Nu er vi allerede forvirrede – men vent, – den korte version kommer her!

Der er mange forskellige måder at kryptere på og de har lidt forskellige sikkerhedsniveau.  For at tage et par eksempler:
TLS er en beskyttelse af den transportvej, mailen bevæger sig på mod modtageren,  – der er selve mailen ikke er krypteret, dvs. at mailen kan læses umiddelbart som den er. Også hvis en forkert modtager får fat i den.

Ved en end-to-end kryptering er mailen ulæselig og den kan kun gøres læselig ved hjælp af en form for nøgle som afsender og modtager har. Det betyder at en end-to-end kryptering er mere sikker end en TLS.

Hvad skal man så vælge?
Den simple hovedregel er, at man som minimum skal bruge en TLS-kryptering, hvis man sender almindelige personoplysninger og en end-to-end kryptering, hvis der er tale om følsomme eller fortrolige oplysninger.

Hvilken udbyder af sikker mail skal man så vælge?
Der er mange forskellige sikker mail udbydere. Du skal finde den løsning, der passer bedst til dig og dine behov.

For at finde ud af det, skal man undersøge markedet – Nogle af de spørgsmål, man kan stille sig selv er:
Hvor de opbevarer data?
Hvilken form for sikkerhed tilbyder de?
Hvad er prisen?

Selv bruger jeg Permido – det er virkelig nemt, der er mulighed for support (ja, et ægte menneske!) og de tilbyder en overkommelig pris, – selv hvis du kun skal have en bruger eller to.

Du kan læse mere om dem her.
Jeg har selv undersøgt Permido – de har deres data i EU, de har styr på databehandleraftalerne og man får en god sikkerhed.
Fordi jeg kan stå inde for dem, har jeg indgået en samarbejdsaftale med Permido. Kort sagt betyder det, at jeg får et mindre beløb, når nogen tilmelder sig Permido fra min side.

Måske er Permido noget for dig, – måske skal du have en helt anden løsning? Jeg håber ihvertfald, at du nu er bedre klædt på til at træffe et valg.

Hvad er personoplysninger?

Personoplysninger er enhver form for information, som kan kobles til en bestemt person!

Men gælder reglerne for alle oplysninger?

Personoplysninger deles egentlig op i to kategorier, nemlig almindelige oplysninger og følsomme oplysninger.
I Danmark har vi et lag oplysninger mere, som vi kalder fortrolige oplysninger.

Du kan se eksempler på de forskellige kategorier herunder.

Tekstfelt: Fortrolige oplysninger – kan være flere end disse 

Straffeattester/strafbare forhold
Personnummer

Der er forskel på, hvordan de forskellige kategorier skal sikres og hvad der kræves, for at det er tilladt at behandle dem.

Det er klart at de “følsomme” oplysninger kræver særlig beskyttelse – det er også de oplysninger, som vi ofte selv betragter som private. Der er langt større mulighed for at behandle “almindelige” oplysninger.

Reglerne for behandling af personoplysninger gælder dog uanset hvilken slags oplysninger der behandles.

Har du spørgsmål, så tag kontakt – Det koster ikke noget at spørge!

Personoplysninger i mails

Jeg har fået dette spørgsmål:
“De oplysninger jeg har liggende på kunder/samarbejdspartnere mm i mit mailprogram – altså som står skrevet i mails – kræver de at jeg har nogle specielle sikkerhedsforhold? “

Svar:
Helt grundlæggende skal du altid have styr på, hvordan du behandler oplysninger, herunder hvor de ligger og hvornår du sletter dem.
Så når du har et generelt overblik over dine personoplysninger, kanskal mailprogrammet være beskrevet der. Så har du forholdt dig til hvad der ligger på mailen, hvornår du sletter det og så om din mailleverandør er sikker.

Når du skal vurdere om ens mailleverandør er sikker, skal du være opmærksom på, er hvilken slags oplysninger, der er tale om. Når vi taler om følsomme og fortrolige oplysninger, der ligger på mails eller sendes på mail, skal vi gøre noget særligt for at sikre dem. Det kan f.eks. gøre ved hjælp af kryptering.

Det vender jeg tilbage til i en kommende blog, så følg med, hvis du gerne vil vide mere om det.

Privatlivspolitik til hjemmeside

Mange henvender sig for at få hjælp til en privatlivspolitik til deres hjemmeside og heldigvis er det relativt simpelt.

Men for at lave en privatlivspolitik, som opfylder kravene i forhold til persondatareglerne, skal man starte med at have overblik over, hvordan man faktisk behandler personoplysninger i virksomheden.
Når man bevæger sig igennem de forskellige processer, der er en del af overblikket og beskyttelsen de personoplysninger man behandler, er selve privatlivspolitikken ret simpel.

Kort sagt – du skal først have overblik over, hvordan du behandler personoplysninger og så er privatlivspolitikken hurtig lavet.

Hvis du kan bruge en hånd til at få overblikket og styr på dokumentationen (og dermed privatlivspolitikken) kan jeg hjælpe dig. Det er billigere end du tror!

Vidste du, at virksomheder har oplysningspligt, når de har ansatte?

Det indebærer blandt andet, at de skal vide, hvordan deres oplysninger behandles og det skal gøres uopfordret.
Det betyder at de skal oplyses, selvom de ikke spørger. Det kan gøres ved ansættelsen eller måske indføres i personalehåndbogen?
Det gælder i øvrigt også for jobansøgere, du ikke ansætter – så de skal også orienteres.
Hvis du er i tvivl om, hvad det betyder for dig og din virksomhed, så kontakt mig for flere oplysninger – det koster ikke noget at spørge. 

Må billederne fra fastelavn postes på sociale medier?

(Må jeg præsentere: Æsel og Byggemand Bob – herunder kan du læse, hvorfor jeg må dele dem).
Når børn på skoler og daginstitutioner skal slå katten af tønden, står forældrene ofte klar med telefonerne for at forevige øjeblikket. Men må de egentlig det?

Hvis man kun tager billeder til egen brug, er det en rent privat aktivitet og dermed slet ikke omfattet af GDPR.

Men hvis man har lyst til at dele billederne med en større kreds – fx ved at offentliggøre dem på nettet – gælder de databeskyttelsesretlige regler på samme måde, som hvis det er billeder fra en forening eller en virksomhed.
Fordi det er børn på billederne til fastelavn, skal man tænke sig lidt ekstra om, for børn har et krav på særlig beskyttelse.
Der er ikke helt klare regler for, i hvilke tilfælde man må offentliggøre billeder, så man er nødt til at lave en konkret vurdering af situationen.

Nogle af de ting, man skal overveje, kan være:
– Hvor, hvordan og med hvem billedet deles?
– Om du har en legitim interesse i at dele billedet – og om den overstiger børnenes interesse i, at det ikke bliver delt?
– Kan børnene føle sig udstillet eller krænket?

I dette tilfælde har jeg bedt om samtykke fra mine børn – de har en alder, hvor de selv kan give samtykket, da de godt kan overskue konsekvenserne.